Để hoàn thành đồ án chuyên đề này, lời đầu tiên em xin chân thành cảm ơn các thầy giáo, cô giáo Khoa Khoa học máy tính, những người đã dạy dỗ, trang bị cho em những kiến thức bổ ích trong năm học vừa qua. Em xin bày tỏ lòng biết ơn sâu sắc nhất tới thầy Lê Tự Thanh, người đã tận tình hướng dẫn em trong suốt quá trình làm đồ án Một lần nữa em xin chân thành cảm ơn sự giúp đỡ của các thầy cô
Đà nẵng, ngày 10 tháng 3 năm 2012
DANH MỤC KÝ HIỆU VÀ TỪ VIẾT TẮT
Ký hiệu Ý nghĩa Sniffing Nghe lén DHCP Dynamic Host Configuration Protocol DNS Domain Name System ARP Address Resolution Protocol MAC Media Access Control Rouge Giả mạo Fake Lừa đảo CAM Content Addressable Memory
DANH MỤC HÌNH VẼ
LỜI MỞ ĐẦU
Trong thời đại “phẳng” như ngày nay, vai trò của Công Nghệ Thông Tin và Internet vô cùng quan trọng. Điều này kéo theo nhiều ngành kinh tế phụ thuộc vào cái máy tính. Chính vì vậy, nhiều ý đồ phá hoại đã nhắm vào hệ thống máy tính. Nhiều website của các doanh nghiệp, công ty bảo mật hàng đầu trên thế giới đều bị hacker tấn công, gây tổn thất lớn về nguồn tài chính cho doanh nghiệp. Tình hình an ninh mạng vẫn trên đà bất ổn và tiếp tục được coi là năm “báo động đỏ” của an ninh mạng Việt Nam và thế giới khi có nhiều lỗ hổng an ninh mạng nghiêm trọng được phát hiện, hình thức tấn công thay đổi và có rất nhiều cuộc tấn công của giới tội phạm công nghệ cao vào các hệ thống công nghệ thông tin của doanh nghiệp và chính phủ. Với mục đích nghiên cứu và tìm hiểu nguyên lý, cơ chế của các cuộc tấn công của hacker nói chung, và từng kỹ thuật tấn công nói riêng, em chọn đề tài tìm hiểu về kỹ thuật tấn công Sniffing, đề tài gồm 3 chương: Chương 1: Tổng quan về an ninh mạng. Chương 2: Tổng quan về Sniffer và các phương thức tấn công Chương 3: Demo tấn công bằng kỹ thuật Sniffing
bởi một nhóm hacker Pro – WikiLeaks, được biết đến với tên là “vô danh”, McDonal cho biết hệ thống của mình đã bị tấn công và các thông tin khách hàng bao gồm email, thông tin liên lạc, ngày sinh và thông tin chi tiết khác đã bị đánh cắp. Các cuộc tấn công chống lại Visa và MasterCard đã làm tê liệt trang web của công ty họ trong nhiều giờ, nhưng sau đó mặc dù các cuộc tấn công trên đã được ngăn chặn và phát hiện nhưng các trang web bán lẻ sử dụng phương pháp tương tự, nó đã không có tác dụng, các dữ liệu bất hợp pháp tràn lan đã được chặn bởi mạng lưới toàn cầu của Akamai Technologies. Tin tặc đã đột nhập vào trang web của NewYork Tour Company và khoảng 110 số thẻ ngân hàng bị đánh cắp, họ đã phá vỡ bằng cách sử dụng một cuộc tấn công SQL Injection trên trang này. Trong cuộc tấn công SQL Injection, tin tặc tìm cách để chèn lệnh cơ sở dữ liệu thực sự vào máy chủ bằng cách sử dụng Web, họ làm điều này bằng cách thêm vào văn bản thiết kế đặt biệt vào các hình thức webbase hoặc các hộp tìm kiếm được sử dụng để truy vấn cơ sở dữ liệu. 1.1. Các website và hệ thống Server liên tục bị tấn công Hiệp hội an toàn thông tin Việt Nam cho biết: “Việt Nam là 1 trong 5 nước có nguy cơ mất an toàn thông tin cao nhất”. Hiện số thuê bao Internet chiếm gần 32% dân số Việt Nam. Đa số các doanh nghiệp và các tổ chức có hệ thống mạng và website giới thiệu, quảng bá thương hiệu, với gần 200 tên miền .vn, và hàng triệu tên miền thương mại. Có rất nhiều doanh nghiệp đã ứng dụng thanh toán trưc tuyến vào công việc kinh doanh và giao dịch. Thế nhưng, mạng Internet Việt Nam còn rất nhiều tiềm ẩn, nguy cơ về an ninh an toàn thông tin. Năm 2010 được đánh giá là năm thực sự nóng bỏng của an ninh an toàn thông tin trên thế giới chung và an ninh mạng Việt Nam nói riêng. Hàng loạt website lớn bị tấn công với mức độ phức tạp ngày càng gia tăng. Ở nước ta, theo đánh giá của một số chuyên gia về an ninh mạng, các tên miền .vn đang đứng hàng thứ 3 trong bảng xếp hạng các tên miền có nguy cơ bị tấn công. Cách đây chưa lâu, cuộc tấn công quy mô lớn, liên tục và kéo dài đã phá hủy hầu như gần hết cơ sở dữ liệu đã lưu trữ 10 năm của báo Vietnamnet.
Các cuộc tấn công trên mạng chủ yếu có mục tiêu vụ lợi, có tổ chức và mang tính quốc tế đang nở rộ với quy mô lớn. Thủ phạm các cuộc tấn công nhằm vào các website có trình độ cao, hình thức tấn công tinh vi, chuyên nghiệp và rất khó chống đỡ. Mục tiêu của hacker không chỉ là các tổ chức, doanh nghiệp tài chính, ngân hàng mà là tất cả hệ thống. Các cuộc tấn công trên là một lời cảnh báo về an toàn thông tin đối với các báo điện tử và những website quan trọng của Việt Nam. Năm 2011, đã có 38 dòng virus xuất hiện mới, lây lan nhiều nhất là virus W32.Sality. Virus này đã lây nhiễm trên 4 triệu lượt máy tính. Cũng trong 2011, đã có 2,245 website của các cơ quan, doanh nghiệp tại Việt Nam bị tấn công, tính trung bình mỗi tháng có 187 website bị tấn công. Năm 2011 là năm của các cuộc tấn công mạng, liên tiếp xảy ra các cuộc tấn công với các hình thức khác nhau vào hệ thống của các tổ chức, doanh nghiệp tại Việt Nam. Có những cuộc tấn công xâm nhập trái phép phá hoại cơ sở dữ liệu hoặc deface các website. Cũng có những cuộc tấn công DDOS làm tê liệt hệ thống trong thời gian dài. Tấn công cướp tên miền của doanh nghiệp cũng đã diễn ra liên tiếp. Nguy hiểm hơn, cũng đã xuất hiện nhiều cuộc tấn công âm thầm, cài đặt virus gián điệp đánh cắp tài liệu của các cơ quan quan trọng 1.1. Nhu cầu về an ninh mạng Tại TP, số lượng các trường đào tạo về ngành An ninh mạng chưa nhiều, nên số lượng nhân lực nhìn chung không đáp ứng đủ nhu cầu. Nhân lực ngành An Ninh Mạng hiện nay lại vừa thiếu về số lượng vừa không mạnh mẽ về chuyên môn. Căn cứ trên số liệu của Trung tâm Dự báo nhu cầu nhân lực và Thông tin thị trường lao động TP trong giai đoạn 2011-2015, mỗi năm thành phố cần từ 8. -10 nhân lực ngành CNTT. Trong đó, ngành Hệ thống thông tin – An ninh mạng cần khoảng 1 người, 50% số này cần có trình độ chuyên môn giỏi. Nhu cầu tuyển dụng ngành CNTT năm 2011 vừa qua tăng 21,21% so với năm 2010 và tiếp tục có xu hướng tăng trong những năm tới. Đa số các Doanh nghiệp Việt Nam hiện nay đã ý thức được tầm quan trọng của việc bảo đảm an toàn các thông tin trên hệ thống mạng vì đó chính là tài sản của Doanh nghiệp. Đặc biệt là trong thời buổi mà hoạt động kinh doanh đang phát triển theo hướng
xuất; mỗi đơn vị cần bình quân một nhân viên phục vụ việc quản trị và an ninh mạng thì số lượng nhân sự an ninh mạng cần đáp ứng ngay cho thị trường lao động VN phải tính trên chục ngàn. Số lượng này là một thách thức rất lớn cho ngành đào tạo CNTT VN thời gian tới. 1. CÁC YẾU TỐ VỀ AN NINH MẠNG
Hình 1. Báo cáo về tội phạm Internet
Hình 1. Báo cáo điều tra vi phạm dữ liệu
Hình 1. Số lượng dữ liệu bị đánh cắp 1. HACKER VÀ ẢNH HƯỞNG CỦA VIỆC HACK 1.3. Hacker họ là ai Là một người thông minh với kỹ năng máy tính xuất sắc, có khả năng tạo ra hay khám phá các phần mềm và phần cứng của máy tính. Đối với một số hacker, hack là một sở thích để chứng tỏ họ có thể tấn công rất nhiều máy tính hoặc mạng. Mục đích của họ có thể là tìm hiểu kiến thức hoặc phá hoại bất hợp pháp. Một số mục đích xấu của hacker như đánh cắp dữ liệu kinh doanh, thông tin thẻ tín dụng, sổ bảo hiểm xã hội, mật khẩu, email... 1.3. Các loại hacker Black Hats: là người có kỹ năng tính toán xuất sắc, sử dụng thành thạo các công cụ và máy tính, có các hoạt động phá hoại, ví dụ như crackers. White Hats: người biết nhiều kỹ năng của hacker, và sử dụng chúng cho mục đích phòng thủ, ví dụ như là chuyên gia phân tích an ninh mạng. Gray Hats: là người làm cả 2 việc, tấn công và phòng thủ ở những thời điểm khác nhau.
CHƯƠNG 2: TỔNG QUAN VỀ SNIFFER VÀ CÁC PHƯƠNG
THỨC TẤN CÔNG
2. GIỚI THIỆU VỀ SNIFFING2.1. Sniffing là gì Nghe lén [Sniffing] được hiểu đơn giản là một chương trình cố gắng nghe ngóng các lưu lượng thông tin trên một hệ thống mạng. Là một tiến trình cho phép giám sát cuộc gọi và hội thoại internet bởi thành phần thứ ba. Người nghe lén để thiết bị lắng nghe giữa mạng mang thông tin như hai thiết bị điện thoại hoặc hai thiết bị đầu cuối trên internet. Nghe lén được sử dụng như công cụ để các nhà quản trị mạng theo dõi và bảo trì hệ thống mạng. Về mặt tiêu cực, nó được sử dụng như một công cụ với mục đích nghe lén các thông tin trên mạng để lấy các thông tin quan trọng. Nghe lén dựa vào phương thức tấn công ARP để bắt các gói thông tin được truyền qua mạng. Tuy nhiên những giao dịch giữa các hệ thống mạng máy tính thường là những dữ liệu ở dạng nhị phân. Bởi vậy để hiểu được những dữ liệu ở dạng nhị
Tìm hi ể u v ề an ninh m ạ ng và k ỹ thu ậ t Sniffer
Nhóm 5 – L 14
phân này, các chương trình nghe lén phải có tính năng phân tích các nghi thức, cũng như tính năng giải mã các dữ liệu ở dạng nhị phân để hiểu được chúng. 2.1. Sniffing thường xảy ra ở đâu Nghe lén chủ yếu xảy ra ở mặt vật lý. Nghĩa là kẻ tấn công phải tiếp cận và có thể điều khiển một thành phần của hệ thống mạng, chẳng hạn như một máy tính nào đó. Ví dụ kẻ tấn công có thể dùng laptop hoặc PC trong các dịch vụ internet, các quán cafe Wifi, trong hệ thống mạng nội bộ doanh nghiệp. Trường hợp hệ thống máy tính nghe trộm và kẻ tấn công ở cách xa nhau, kẻ tấn công tìm cách điều khiển một máy tính nào đó trong hệ thống mạng rồi cài đặt trình nghe lén vào máy đó để thực hiện nghe trộm từ xa. 2.1. Các mối đe dọa về nghe lén Bằng cách đặt gói tin trên mạng ở chế độ đa mode, kẻ tấn công có thể bắt và phân tích tất cả lưu lượng, thông tin mạng. Các gói tin nghe lén có thể chỉ bắt những thông tin trên cùng 1 miền mạng. Nhưng thông thường thì laptop có thể tham gia vào mạng và thực thi. Hơn thế nữa, trên switch có nhiều port được mở nên nguy cơ về nghe lén là rất cao. Hiện nay, nghe trộm mạng được thực hiện rất dễ dàng, bởi có quá nhiều công cụ giúp thực hiện như Cain&Able, Ettercap, Ethereal, Dsniff, TCPDump, Sniffit,..ác công cụ này ngày càng được tối ưu hóa, để dễ sử dụng và tránh bị phát hiện khi được thực thi. So với các kiểu tấn công khác, tấn công dạng Sniffing cực kỳ nguy hiểm, bởi nó có thể ghi lại toàn bộ thông tin được truyền dẫn trên mạng, và người sử dụng không biết là đang bị nghe lén lúc nào do máy tính của họ vẫn hoạt động bình thường, không có dấu hiệu bị xâm hại. Điều này dẫn đến việc phát hiện và phòng chống nghe trộm rất khó, và hầu như chỉ có thể phòng chống trong thế bị động [Passive] – nghĩa là chỉ phát hiện được bị nghe trộm khi đang ở tình trạng bị nghe trộm. 2.1. Cơ chế hoạt động chung của Sniffing
ê Long Bảo Trang
Nhóm 5 – Lê Long Bảo Trang 16
Hình 2. Các lỗ hổng của giao thức để Sniffing 2. CÁC PHƯƠNG THỨC TẤN CÔNG 2.2.1ấn công MAC Switch thì có bộ nhớ giới hạn cho việc ánh xạ địa chỉ MAC và port vật lý trên switch. Tấn công MAC là tấn công làm ngập lụt switch với một số lượng lớn yêu cầu, lúc này switch hoạt động như hub và lúc này các gói tin sẽ được gửi ra tất cả các máy trên cùng miền mạng và kẻ tấn công có thể dễ dàng nghe lén. Ngập lụt MAC làm cho bộ nhớ giới hạn của switch đầy lên bằng cách giả mạo nhiều địa chỉ MAC khác nhau và gửi đến switch. Bảng CAM của switch thì có kích thước giới hạn. Nó chỉ lưu trữ thông tin như địa chỉ MAC gắn với cổng tương ứng trên switch cùng với các tham số miền mạng vlan.
Hình 2. Mô tả hoạt động của bảng CAM Khi máy A gửi gói tin đến máy B, nó sẽ tìm trong bảng địa chỉ MAC của nó, coi thử có địa chỉ MAC của máy B hay không, nếu không có máy A sẽ gửi gói tin ARP đến switch để hỏi địa chỉ MAC của máy B. Máy B lúc này nhận được gói tin gửi phản hồi lại cho máy A sau đó các gói tin được lưu chuyển từ A đến B mà không chuyển sang các máy khác. Một khi bảng CAM trên switch đầy thì các lưu lượng ARP request sẽ làm ngập lụt mỗi cổng của switch. Lúc này switch hoạt động cơ bản như hub, và tấn công lúc này sẽ làm đầy bảng CAM của switch. 2.2. Tấn công DHCP Để hiểu được cách tấn công dịch vụ DHCP đầu tiên ta cần nắm được cách thức cấp phát và nhận ip từ máy trạm đến máy chủ. Đầu tiên, một DHCP client muốn nhận mới một địa chỉ IP [chứ không phải muốn phục hồi lại thời gian “thuê” của một địa chỉ IP mà nó đang sử dụng] sẽ gửi lên toàn mạng [broadcast] một thông điệp DHCP Discover có chứa địa chỉ MAC của nó để tìm kiếm sự hiện diện của DHCP server. Nếu tồn tại sự hoạt động của [các] DHCP server thuộc cùng subnet với DHCP client trên thì [các] server này sẽ phản hồi lại cho client bằng một thông điệp DHCP Offer có chứa một địa chỉ IP [và các thiết lập TCP/IP khác] như là một lời đề nghị cho “thuê” [lease] địa chỉ. Ngay khi nhận được gói DHCP Offer đến đầu tiên, client sẽ trả lời lại cho server [dĩ nhiên là gửi cho server nào mà nó nhận được gói DHCP Offer đến đầu tiên trong trường hợp có nhiều DHCP server nằm cùng subnet với nó] một thông điệp DHCP Request như là sự chấp thuận lời đề nghị cho “thuê” trên.
Một rogue server có thể cung cấp cho các legitimate client các thông số cấu hình TCP/IP giả và trái phép như: địa chỉ IP không hợp lệ, sai subnet mask, hoặc sai địa chỉ của default gateway, DNS server nhằm ngăn chặn client truy cập tài nguyên, dịch vụ trong mạng nội bộ hoặc Internet [đây là hình thức của tấn công DoS].
Hình 2. Minh họa DHCP Rouge Việc thiết lập một rogue server như vậy có thể thực hiện được bằng cách sử dụng các kỹ thuật “social engineering” để có được khả năng tiếp cận vật lý rồi kết nối rouge server vào mạng. Attacker có thể thoả hiệp thành công với một legitimate client nào đó trong mạng và thực hiện cài đặt rồi thực thi trên client này một chương trình có chức năng liên tục gửi tới DHCP server các gói tin yêu cầu xin cấp IP với các địa chỉ MAC nguồn không có thực cho tới khi toàn bộ dải IP trong scope của DHCP server này bị nó “thuê” hết. Điều này dẫn tới server không còn IP nào để có thể cấp phát cho các legitimate client khác. Hậu quả là các client này không thể truy cập vào mạng.
Hình 2. Minh họa việc chuyển hướng người dùng Một rủi ro nữa có thể xảy ra nếu như attacker phá vỡ được các hàng rào bảo vệ mạng và đoạt được quyền kiểm soát DHCP server. Lúc này, attacker có thể sẽ tạo ra những sự thay đổi trong cấu hình của DHCP server theo ý muốn như:
Sniffing là một hình thức tấn công gì?
Sniffing: Sniffing hoặc Packet Sniffing là kỹ thuật được sử dụng để nắm bắt các gói dữ liệu vào và ra của hệ thống. Packet Sniffing cũng tương tự với việc nghe trộm trong điện thoại. Sniffing được xem là hợp pháp nếu được sử dụng đúng cách. Doanh nghiệp có thể thực hiện để tăng cường bảo mật.
Kỹ thuật Sniffing là gì?
Sniffing là hình thức nghe lén thông tin trên mạng nhằm khai thác hiệu quả hơn tài nguyên mạng, theo dõi thông tin bất hợp pháp. Tuy nhiên, sau này các hacker dùng sniffing để lấy các thông tin nhạy cảm, do đó cũng có thể coi đó là 1 hình thức hack.
Sniffer là con gì?
Sniffer là gì? Sniffer hay packet sniffer là một chương trình phần mềm nghe trộm gói tin [còn gọi là chương trình phân tích mạng, phân tích giao thức hay nghe trộm Ethernet], có khả năng chặn bắt và ghi lại lưu lượng dữ liệu qua một mạng viễn thông số hoặc một phần của một mạng.